スピアフィッシングと「孫子（の兵法）」【メールセキュリティ】

2019.07.22

スピアフィッシングは世界中で急速に最新で最も危険なサイバー攻撃の一つになっています。数字は損害の計算方法と犯罪の分類方法によって異なりますが、IC3（Internet and Computing Core）のレポートによると、2018年の企業のフィッシング関連の損害は4800万ドル以上です。フィッシング攻撃に関連するBEC（ビジネスメール詐欺）、企業データ侵害などの犯罪を個別に分類すると、この数字ははるかに大きくなります。APWG（Anti-Phishing Working Group）の最近のレポートによると、SaaS（Software as a Service）およびWebメールサービスへのフィッシング攻撃は2018年の第4四半期に倍増しました。また、ベライゾン2018 DBIR（2018年度データ漏洩/侵害調査報告書）によると、受信者の平均4%はフィッシング攻撃に実際にだまされました。この報告書によると、4%のうちの誰かがだまされるまでの時間は、わずか16分です。誰かがIT部門に攻撃を報告するまでの時間は、さらに12分です。モバイル攻撃を含むと、この数字は本当に大きくなります。詳細については、ベライゾン2019 DBIRをご参照ください。

DYK：スピアフィッシング攻撃のターゲットの平均 4％は、攻撃の最初の16分間に詐欺の犠牲になります。 #DBIR @VZDBIR

サイバー犯罪が非常に多く、被害者が重大な危険にさらされている現状では、伝説的な軍事思想家である孫子からの教訓を再検討することが興味深いと思われます。私たちのほとんどは実際のサイバー戦争に従事しませんが、私たちのすべては企業、サービスプロバイダ、政府、および個人としての私たちを常に攻撃している犯罪者から自衛しています。視点を少し変えると、「孫子（の兵法）」からの古典的な教訓はスピアフィッシングなどの攻撃への予防対策を確立する方法を理解するために役立ちます。

彼を知り己を知れば百戦殆からず

ITセキュリティの基本の一つは現在の攻撃と脆弱性への自分の対策の状態を知ることです。オーストリアの航空機部品メーカーであるFACC（Fischer Advanced Composite Components）がスピアフィッシング攻撃を受けた2016年の初期は、スピアフィッシングが数年前から記事の見出しになっていました。RSAセキュリティ、ロッキード・マーティン、およびUbiquiti Networksは、この犯罪の被害に遭った大企業の一部にすぎません。FACCのITセキュリティプロフェッショナルがスピアフィッシングに精通していなかった可能性は低いですが、ビジネスプロセス内の「脆弱性」を認識していなかったことは明らかです。CEO（最高経営責任者）のWalter Stephan氏を偽装したメールが従業員に送信され、従業員は架空の買収計画のための送金依頼に応じました。ビジネスプロセス内の「脆弱性」を知ることは犯罪者の攻撃方法を知ることと同様に重要です。

変化は機会

この教訓に関する考え方は2、3ありますが、まず2015年にウクライナの電力系統を攻撃した犯罪者の視点から考えてみましょう。この攻撃の前も、悪意のあるファームウェアによる物理的な機械への攻撃が実行されていたため、この攻撃は特に新しいものではありませんでした。しかし、スピアフィッシング攻撃が新たに成功したことは侵入の新しい機会（SANS Instituteのレポート）があったということです。結局、このサイバー犯罪の大幅な変化によって、成功する攻撃手段が考え出されました。

比較的新しいスピアフィッシング攻撃手法の成功は、2015年のウクライナの送電網の攻撃者に新しい機会をもたらしました。スピアフィッシングは、システムに侵入するために使用した主要なツールの1つでした。

次に、180度転換し、被害者の視点から考えてみましょう。被害者は、変化を見過ごしたため、機会を損失しました。犯罪者は停電の前に6か月以上システムにアクセスできました。この間、犯罪者は、可能なかぎり多くの情報を収集するために、認証情報を盗み出し、新しいアカウントを作成し、権限を操作し、C2（コマンドアンドコントロール、遠隔操作）を設定し、VPN（仮想プライベートネットワーク）接続を確立し、システム内を移動しました。この攻撃によって、数百件のシステム異常が発生しましたが、監視プロセスが堅牢な場合は、検出された可能性があります。被害者は、変化を検出できなかったため、攻撃を防止する複数の機会を損失しました。

20万を超える企業がバラクーダネットワークスのソリューションを使用して、サイバーセキュリティの脅威から保護しています。無料のスキャンを実行して、サイバーセキュリティリスクプロファイルの包括的なレポートを取得します。

タイミングが肝心

ゼロデイエクスプロイト、周期的な攻撃、またはイベント関連の攻撃については、機会のタイミングが肝心です。この教訓の最適な例の一つが Pawn Stormによる2016年のスピアフィッシング攻撃です。Pawn Stormは本稿を書いている時点で12年以上前から存在する攻撃的なサイバースパイグループです。また、Fancy Bear、APT28、Sofacyなどのさまざまな名前でも知られてきました。

2016年、Pawn Stormは、アドビとマイクロソフトの脆弱性を悪用するために、特定の有名企業にスピアフィッシング攻撃を実行しました。Pawn Stormは、脆弱性を悪用して、被害者のネットワークに複数のファイルをダウンロードできました。2社は、最終的に脆弱性を知って、すぐに修正しようとしました。Pawn Stormは、この攻撃を実行するために作成したカスタムツールを使用するためのタイミングがわずかしか残っていないと認識し、攻撃をすぐに強化しました。

企業が、ベンダによるパッチの発行とゼロデイ脆弱性の修正に依存していることは事実かもしれませんが、相次ぐ調査では、必要なタイミングでパッチを適用していないことが判明しています。この調査では、セキュリティ侵害を報告した回答者の半数以上が、その原因はパッチが提供されている一方で適用されていない脆弱性であると考えています。また、回答者の3分の1以上は攻撃の前に脆弱性を知っていました。

ゼロデイ攻撃や季節的またはイベント関連の攻撃に関しては、チャンスがすべてです。 #PawnStorm #SpearPhishing #CyberSecurity

勝てる「戦」を選ぶ

最後に、この教訓について考えてみましょう。毎日、ITプロフェッショナルは複数の「戦」に直面しています。パッチ適用の優先度設定、最新の脅威情報の継続的な入手、ネットワークに侵入する不正なITリソースの識別、ユーザアカウントとアクセスレベルの管理、データバックアップの設定とテスト、エンドユーザのトレーニングとサポートなどを行う必要があります。このようなタスクからは、さらに大きいタスク、および社内チーム間の予期しない対立と誤解が生じる可能性があります。誰もこのような問題に対処したくはありません。しかし、どうすべきか、つまりビジネスを保護するための社内のコミュニケーションとポリシーに関する「戦」、社外の不明な犯罪者との「戦」のいずれを行うべきかは明らかです。まだスピアフィッシング攻撃とデータ侵害の被害に遭っていない場合は、これからこの選択を行う必要があります。